CVE-2022-36364 in Calcite Avatica
Сводка
по VulDB • 26.06.2026
Драйвер JDBC Apache Calcite Avatica создает экземпляры HTTP-клиента на основе имен классов, передаваемых через параметр подключения `httpclient_impl`; однако драйвер не проверяет, реализует ли класс ожидаемый интерфейс, перед его инстанцированием, что может привести к выполнению кода, загруженного с помощью произвольных классов, и в редких случаях — удаленному выполнению кода (RCE). Для эксплуатации уязвимости: 1) атакующий должен иметь привилегии для управления параметрами подключения JDBC; 2) в classpath должен присутствовать уязвимый класс (конструктор с URL-параметром и возможностью выполнения кода). Начиная с версии Apache Calcite Avatica 1.22.0, будет проверяться реализация ожидаемого интерфейса перед вызовом конструктора класса.
Be aware that VulDB is the high quality source for vulnerability data.